Bonjour à tous,
 
Exposition du pb  
 
Depuis quelques semaines maintenant, mon firewall (zone alarme) m'indique de nombreuses alertes provenants toujours de l'Ip
62.147.xxx.xxx (xxx=variable).
 
Ces attaques (si tel est le cas) sont de l'ordre de 4 à 5 par minutes.
Je n'ai pas de logiciel espions (du moins ad-ware SE n'indique rien)
je précise, parce que ces "attaques" sont continuelles même avec reboot du modem pour changement d' IP (/me 56K).
j'ai installé Nuke nabber sur le conseil d'une connaissance.
 
 
Je ne me suis jamais posé la question avant , je pensais que c'était normal jusqu'à ce qu'on me dise que non.
 
question
 
Quelqu'un sait-il quoi faire? conseil ou n'inporte quoi.
 
Merci

62, c'est pas du Cegetel ça ?

non c'est un abonné Free RTC ou ADSL non dégroupé
http://www.dnsstuff.com/tools/whois.ch?ip=62.147.0.0
quelles sont ces attaques ? numéro de ports utilisés ?

Free RTC... ça ferait presque pitié de savoir qu'un pauvre t'en veux !

RTC ou ADSL non dégroupé

Bah tu restes protégé et puis voilà.
Si t'en as marre, tu dénonces l'adresse IP chez Free et tu verras bien...

d'après ce que j'ai entendu, Free est relativement efficace en cas d'abus de ce type.
Par contre il faut fournir un maximum d'informations :IP, date, type d'attaque...

Screenshots & Logs seront tes précieux atouts !

Merci à tous, le problème justement, c'est que chaque "attaque" recensée par ZA n'a pas la même IP (à part le début soit 62.147. Je met un screen.
 
http://img346.imageshack.us/img346/622/xxx8yy.jpg

si tu leur fournis l'IP et l'heure exacte à laquelle tu as été attaqué avec cette IP ils sauront de quel abonné il s'agit

de toute manière c'est une machine (ou des machines) vérolée qui essaye d'accéder au port 445, je ne pense pas que ce soit une attaque ciblée.

il sort de la machine attaquante par le port 445 mais essaie d'entrer à chaque fois par un port différent, regarde bien

Ok merci , vous pensez donc que c'est pas une attaque dangereuse?
Nuke nabber m'indique qu'il essaye bcp le port 5000, il a quelque chose de special ce port?
 
De plus, quand je lance un "netstat" la ligne suivante s'affiche:
 
http://img195.imageshack.us/img195/5530/yy1ad.jpg
 
ça voudrait dire qu'il a réussi à rentrer dans mon PC????

d'après les captures d'écrans, la machine attanquante utilise un port source quelconque mais elle attaque uniquement le port 445 de la victime.
 

As tu un P2P qui tourne ? car ce n'est pas normal qu'une liaison est établie sur le port 5000.
As tu des programmes qui nécessite une connexion spéciale(port >1024)  au net ? messagerie instantané...

Tant qu'il cause, c'est qu'il détecte quelque chose, donc qu'il fait son boulot ... (il = ZA)
Quand il dira plus rien, inquiète-toi

J'utilise msn messenger, pas de P2P.
Mais je n'ai pas de liaison sur le port 5000, Nuke Nabber m'indique juste :
 

 
 
 
Sans plus d'indication.Vous savez rien concernant le dernier screen avec le "epmap"???
 
Merci bcp de m'aider.

A la rigueur, tu peux sniffer le traffic sur le port 5000 (ethereal.org)

D'après la capture d'écran voilà ce que je conclu :
la machine de l'"attaquant" est connecté au port 135 (epmap) ce qui sous entends deux choses :  
- le firewall est mal configuré car sur une machine Windows les ports 135-139 et 445 doivent être bloqués
- la connexion est établie : la personne accède peut être à tes partages ou le ver commence son infection en attaquant le port 135.
PS : tu parles de port 5000, mais tu l'as constaté où ?

Le port 5000 c'est Nuke nabber qui me le montre (voir plus haut la liste des messages qu'il me donne.)
J'utilise ZA pro (en version d'évaluation dans quelque jours, je repasse au normal) mais je ne configure jamais les ports, je ne fait qu'accepter ou refuser les demandes d'accés des programmes à Internet.

Par contre est ce que Nuke nabber peut te renseigner sur l'attaque de cette façon :
adresse IP attaquant et numéro port attaquant puis
adresse IP victime et numéro port victime
car  

je ne sais pas si 5000 c'est le port de la victime ou le port de l'attaquant.

Nuke nabber ne précise pas, désolé.
 
J' ai remarqué un processus que je n'avais jamais vu auparavant : 3cshtdwn.exe, ça peut avoir un rapport avec?
 
Edit : aprés recherche, c'est en rapport avec mon modem (us.robotik)
donc pas de pb.J'avais eu peur parce que ça me faisait penser à "shutdown".
 
Je DL le sniffer et le log anti-spyware complexe qui est apparemment efficace "Hijack" un truc comme ça.